Premierminister vil have adgang til krypteret indhold: Australsk lov står over matematikkens lov

Australien vil have Facebook og Google til at hjælpe med adgang til krypteret indhold.

Den australske regering vil indføre lovgivning, der skal tvinge techvirksomheder som Google og Facebook til at give politimyndigheder adgang til krypterede beskeder i efterforskningsøjemed.

Det kan The Guardian fortælle.

Australiens premierminister Malcolm Turnbull har fortalt, at den australske lovgivning er modelleret over den britiske Investigatory Powers Act, som blev vedtaget tilbage i november. Ifølge The Guardian har denne lovgivning givet efterretningstjenester nogle af de mest vide overvågningsbeføjelser i Vesten.

Den australske lov skulle betyde, at techvirksomheder vil blive underlagt de samme forpligtelser som teleselskaber i forhold til at hjælpe politimyndigheder med opklaringsarbejde. Det vil kræve en dommerkendelse, før politiet vil kunne få adgang til kommunikation.

Ifølge Turnbull er det nødvendigt med sådan en lovgivning for at kunne holde trit med den teknologiske udvikling, som kan facilitere kriminalitet. Et argument, der også har været brugt herhjemme i forhold til debatten om sessionslogning. Blandt andet af daværende justitsminister Søren Pind (V).

Læs også: Pind: Modstand mod sessionslogning er uansvarlig

I forhold til de aktuelle australske planer har Turnbull ifølge The Guardian sagt:

»Vi bliver nødt til at sikre, at internettet ikke bliver brugt som et mørkt sted for slemme mennesker til at skjule deres kriminelle aktiviteter for loven.«

Og i den forbindelse er han ifølge avisen - ganske nærliggende - blevet spurgt til, hvad der skulle forhindre brugere i at skifte over til krypteringssoftware, som ikke er kontrolleret af de pågældende techvirksomheder.

Stærk kryptering, baseret på grundlæggende og transparente matematiske principper, er som bekendt frit tilgængelig. Og sådan en form for kryptering er alt andet lige - og forudsat at implementeringen er god - reelt ubrydelig.

Læs også: Krypto-professor: Derfor døjer politiet med krypteret laptop i hackersag

Turnbull slog imidlertid fast, at det først og fremmest er de australske - ikke de matematiske love - der gælder i Australien. For at undgå eventuelle misforståelser bringer vi her den australske premierministers udtalelse i forhold til emnet på originalsproget, som gengivet af The Guardian.

»The laws of Australia prevail in Australia, I can assure you of that. The laws of mathematics are very commendable, but the only laws that applies in Australia is the law of Australia.«

Altså noget i retning af: »Australiens love hersker i Australien, det kan jeg forsikre dig om. Matematikkens love er meget prisværdige, men de eneste love, der gælder i Australien er Australiens lov.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (38)

Kommentarer (38)
Lars Lundin

De er smarte i Australien..

Udtalelsen bliver naturligvis udlagt så manden fremstår som decideret dum, hvilket man ikke kan udelukke at han er.

Men faktum er at en nationalstat sagtens kan lovgive om brug af kryptering, herunder at gøre det kriminelt at anvende uden tilladelse, samt at blokere for traffik som kunne være krypteret. (At ingen af delene kan garanteres at være trivielle eller bare mulige forhindrer ikke nødvendigvis lovgivningens indførelse).

Helge Svendsen

Men med mindre du har en kvante computer af hidtil uset kraft, så kan national lovgivning jo ikke ændre på det faktum at sikker kryptering er, sikker.

Så idiot eller ej, så er det nok ikke meget at gøre ift dem der virkelig vil holde noget hemmeligt. PM eller ej.

Jesper Lund

Men faktum er at en nationalstat sagtens kan lovgive om brug af kryptering [..]

En lovgivning om at udbydere af kommunikationstjenester skal kunne give politiet adgang til indholdet af krypteret kommunikation er skam lige vedtaget i Storbritannien. Den hedder Investigatory Powers Act, aka Snooper's Charter.

Om den lovgivning medfører en pligt til at installere en bagdør er uklart
http://www.cyberleagle.com/2017/05/back-doors-black-boxes-and-ipact.html

Whether a technical capability notice could be used to require a provider to change the nature of a service that it was offering in this way is one of the great imponderables of this part of the legislation. The draft regulations shed no more light on the matter.

Men Home Office i UK mener uden tvivl, at udbyderne af krypterede kommunikationstjenester har pligt til dette.

Indholdet af de omtalte technical capability notices (pålæg om at indrette systemerne, så adgang til indholdet af krypteret kommunikation kan gives) og modtagerne er hemmelige, så det er ikke sikkert at offentligheden får indblik i den diskussion.

Poul-Henning Kamp Blogger

Hvorfor ikke ophæve tyngdeloven, det vil da gøre indenrigs flyrejser meget billigere i Australien?

Jeg synes det er fantastisk hvor bodega-dumme folk kan være på det her punkt.

Det den australske PM siger er "Dig, din kryptering/matematik og hvilke hær ?"

Der er hverken i engelsk, fransk (herunder dansk) eller USAnsk retstradition noget til hinder for en lov der siger:

"En domstol kan beordre krypterede data dekrypteret [specifikation af hvornår] og at den kan fængsle folk der ikke gør det, indtil de enten efterkommer ordren, eller overbeviser retten om at den er umulig at efterkomme."

Og bemærk hvor liberal loven faktisk er:

  • Den siger ikke at du skal huske password'et, det står dig frit for at hente off-line backup'en, eller brute-force hvis du har de lyster.

  • Den forbyder dig ikke at bruge kryptering.

  • Den blander sig ikke i hvilken kryptering du bruger.

  • Den blander sig ikke i hvornår eller til hvad du bruger den.

  • Den kræver ikke en indbygget bagdør i din kryptering.

  • Den kræver ikke kopi/escrow af dine passwords.

Det eneste loven gør, er at frihedsberøve dig, hvis du forhindrer at retten kan ske fyldest.

UK har allerede en lov af den form, det er den australiens PM siger de vil kopiere.

Det mest bemærkelsesværdige ved UK's lov er, at der tilsyneladende ikke er nogen øvre grænse for hvor lang tid man kan sidde og råddne i fænglset.

Herhjemme er tavshedspligt gentagne gange blevet brækket åben, hvis domstolen følte det var vigtigt nok.

Og indtil en sådan lov rammer en helt uskyldig person vildt uretfærdigt og det er dommerens job at forhindre dét, kan du æde din hat på at loven ikke bliver fjernet af et bredt folkeligt oprør.

Jesper Lund

Der er hverken i engelsk, fransk (herunder dansk) eller USAnsk retstradition noget til hinder for en lov der siger:

"En domstol kan beordre krypterede data dekrypteret [specifikation af hvornår] og at den kan fængsle folk der ikke gør det, indtil de enten efterkommer ordren, eller overbeviser retten om at den er umulig at efterkomme."

Jo.

Hvis en domstol derved pålægger en person en pligt til selv-inkriminering, kan det meget vel være i strid med artikel 6 i EMRK i Europa (og Fifth Amendment i USA).

Den britiske lov på området (RIPA 2000, Section 49) har en straf for overtrædelse på maksimalt to år i de fleste sager (inklusive "terror" sager).

Effekten af bestemmelsen (som er anvendt ret sparsomt i UK) vil derfor være størst i forhold til mindre alvorlige lovovertrædelser, hvor mistænkte har beskyttet sig med kryptering. Her kan loven have en reel effekt ved at tvinge mistænkte til selv-inkriminering (dekryptere og fremlægge kommunikationen eller dokumenterne). Hvis personen er tiltalt for noget rigtigt alvorligt (fx "terror"), vil det være "billigere" at tage straffen for at overtræde påbuddet om at fremlægge den selv-inkriminerende kommunikation.

Eftersom lovgivning med "key disclosure" krav mod mistænkte rejser en masse principielle problemer, og eftersom det vil have begrænset effekt i de mest alvorlige sager, tror jeg at man fra politisk side vil overveje andre metoder i forhold til kryptering.

Poul-Henning Kamp Blogger

Hvis en domstol derved pålægger en person en pligt til selv-inkriminering, kan det meget vel være i strid med artikel 6 i EMRK i Europa (og Fifth Amendment i USA).

Beskyttelsen imod selv-inkriminering handler om at du ikke kan tvinges til at afsløre at du har foretaget evt. ulovligheder.

Den beskytter dig ikke hvis disse handlinger allerede er blevet afsløret, eller hvis dit vidnesbyrd er livsvigtigt for andres ve & vel. [1]

Men i særdeleshed kan du ikke bruge "selvinkriminering" til at dække over dine bevisligt lovlige handlinger.

Den australske PM peger gøbben på "service-providers", der f.eks helt lovligt udbyder krypteret email/cloud-storage/etellerandet.

De kan ikke dække sig ind under "selvinkriminering", hvis retten beder dem om at dekryptere en bestemt kundes traffik/data/whatever [2]

Det kan argumentere om alle mulige andre ting (Som Apple og M$ gør/har gjort det), herunder tab af penge/goodwill/kontraktbrud osv. og det må retten så tage stilling til.

IT-folk der tror sig klogere på jura end advokater, dommere og politikere gør klogt i at studere mordsagen mod Reiser og overveje hvor god den strategi mon er i praksis.

[1] Overvej sagstypen hvor man har fanget kidnapperen, men ikke ved hvor offeret er spærret inde.

[2] Det er langt fra en fastslået sikkerhed at virksomheder, som juridisk person, overhovedet har en ret til ikke at inkriminere sig selv. Medarbejderne i firmaet har helt sikket, men der er intet der tyder på at den "abstrakte" virksomhed har denne ret. Det er en vigtig detalje, for en dommerkendelse vil blive sendt til "FooCloud" ikke til "Direktøren for FooCloud".

Jesper Lund

[2] Det er langt fra en fastslået sikkerhed at virksomheder, som juridisk person, overhovedet har en ret til ikke at inkriminere sig selv. Medarbejderne i firmaet har helt sikket, men der er intet der tyder på at den "abstrakte" virksomhed har denne ret. Det er en vigtig detalje, for en dommerkendelse vil blive sendt til "FooCloud" ikke til "Direktøren for FooCloud".

Jeg taler om den situation, hvor adgangen til din krypterede kommunikation forudsætter at du fortæller politiet et password. Det er den situation som dækkes af RIPA 2000, Section 49.

Hvis en virksomhed har password til min krypterede kommunikation, kan de selvfølgelig ikke undlade at udlevere den. Allerede den nuværende danske retsplejelov vil være tilstrækkeligt til at tvinge dem.

Ivo Santos

Hvem ved!!, måske han næste gang forbyder processorer, over en hvis hastighed, og eller lager medier over en hvis størrelse for på den måde at begrænse brugen af visse krypterings teknologier. Hvem ved, måske man snart kan købe 720KB eller 1.44MB disketter i Australien!!!...

Poul-Henning Kamp Blogger

Hvis en virksomhed har password til min krypterede kommunikation, kan de selvfølgelig ikke undlade at udlevere den. Allerede den nuværende danske retsplejelov vil være tilstrækkeligt til at tvinge dem.

Forskellen, så vidt jeg kan se den, er at den ændrer dette "Hvis" til "Skal".

Virksomhederne bliver, som teleudbyderne, tvunget til implementere "legal intercept".

I det tilfælde hvor du selv krypterer en fil med PGP inden du uploader den til skyen, har cloudvirksomheden ryggen fri, men hvis det er deres app der foretager krypteringen vil svaret "vi har ikke password" ikke længere være godt nok.

Hele balladen med "Clipper-chippen" i sin tid, var netop at AT&T ikke lovligt kunne udbyde en teleservice som politiet ikke kunne aflytte og derfor skulle der være en indbygget bagdør.

Clipper er forresten et godt eksempel på it-liberalisternes politiske inkompetence: Deres modstand mod bagdøren i Clipper sikrede at data forblev i let aflyttelig plaintext de næste 25 år.

René Nielsen

Der er for meget lægmandsbetragtninger over dit sidste indlæg PHK.

Clipper chippen var Clinton regeringens forsøg på at indføre kryptering med bagdør. https://en.m.wikipedia.org/wiki/Clipper_chip

Clipper var ikke begrænset til AT&T selvom det er rigtigt at en teleoperatør som AT&T ikke må indføre samtaletjenester som politiet ikke kan aflytte.

Men sagen med den australske lovgivning er anderledes, fordi flere “udbydere” deles om at leverer den service som AT&T i sin tid var ene om og at der er brugeren som sammensætter “tjenesten”.

Pointen med smartphones er at kommunikationen er krypteret før den kommer ind på teleoperatørens net. Du kan let have tre eller flere udbydere som deles om at transporterer kommunikationen. Bruger jeg en VPN forbindelse sammen med Signal via TDC’s net til at tale med personer som politiet vil aflytte, så har jeg svært ved at se, at Snoopers act eller den australske lovgivning til hjælpe politiet hertil.

Dernæst kommer Snoopers act faktisk ikke gælder for små udbydere (under 10.000) ligesom det er uklart hvordan det tal opgøres. http://www.cyberleagle.com/2017/05/back-doors-black-boxes-and-ipact.html

Til sidst er der vel ingen fornuftige mennesker som kunne forudse at myndighederne ville overgå fra aflytning af enkelpersoner via dommerkendelse til ulovlig masseaflytning af hele befolkninger uden nogen form for domstolskontrol og det i et omfang som langt overstiger George Orwells 1984.

Årsagen til at lovgivning som Snoopers act indføres er jo at myndighederne har erkendt at deres handleringer er ulovlige.

Ib Larsen

"Beskyttelsen imod selv-inkriminering handler om at du ikke kan tvinges til at afsløre at du har foretaget evt. ulovligheder.

Den beskytter dig ikke hvis disse handlinger allerede er blevet afsløret, eller hvis dit vidnesbyrd er livsvigtigt for andres ve & vel. [1]"

Det er ikke rigtigt, i al fald ikke i Danmark.

En der er mistænkt for mord kan ikke tvinges til at lede politiet på sporet ved at fortælle dem, hvor liget er begravet eller til at gøre rede for sin færden.

Hvis det var anderledes kunne politiet have krævet af en mistænkt i Emmelie Meng-sagen, at han redegjorde for sin færden på et bestemt tidspunkt og pålægge ham sanktioner for ikke at hjælpe, men det er ikke tilfældet.

Der er forskel på udmøntningen af selvinkrimineringsprincippet i Danmark, Storbritanien og USA.

  • I Danmark kan man ikke straffes for forvanskning af beviser, hvis det sker for at unddrage sig selv eller ens nærmeste straf eller forfølgning, eller for at lyve i retten (som tiltalt), eller for at lyve for politiet (der er undtagelser hvis man søger at rette mistanken mod en anden), eller for ikke at ville oplyse sit password til politiet, hvis de mistænker en for noget strafbart.

    • I Storbritanien kan man straffes som Jesper Lund rigtigt fremhæver for ikke at udlvere sit password til politiet eller for ikke at være behjælpelig med at gøre krypterede data forståelige.

Men det kræver, at det i forvejen kkan bevises, at personen er i stand til at afkode dataene, og at undladelsen er knowingly.

Det vil sige, at politiet vil være lige vidt, med mindre man kan bevise at personen allerede har muligheden for at åbne men bevidst nægter.

Og i praksis er det derfor kun i meget få tilfælde at sanktionen er blevet brugt.

  • I USA har domstolene indfortolket et princip i deres Fifth Amendment kendt som foregone conclusion, men det kræver stadig som minimum at myndighederne kan bevise, at personen har mulighed for at afkode dataene, og sanktionen kan kun pålægges hvis det kan bevises, at personen forsætligt nægter at følge rettens pålæg.

Et sådant pålæg vil ikke virke i tilfælde, hvor myndighederne måske mistænker en person for at have lagret børneporno eller terrorpropaganda i skyen men ikke definitivt kan bevise, hvor det er lokaliseret eller dets omfang.

I de sager fra Storbritanien hvor strafsanktionen i RIPA er blevet anvendt, har myndighederne haft computeren i deres besiddelse og har kunnet bevise at personen var ejeren af de krypterede data.

Derfor har det været vanskeligt at påberåbe sig selvinkrimingeringsprincippet.

Der ville være helt andre problemstillinger, hvis der var huller i statens bevisførelse -- f.x hvis flere personer havde brugt en fælles computer, eller hvis myndighederne kun mistænkte men ikke kunne bevise, hvor dataene var lokaliseret (data i skyen).

"Men i særdeleshed kan du ikke bruge "selvinkriminering" til at dække over dine bevisligt lovlige handlinger."

Det kan man så godt i Danmark, hvis man er tiltalt, princippet om at tiltalte har en ret til ikke at vidne imod sig selv for at bestyrke anklagemyndighedens sag er da vist ret så absolut.

For almindelige borgere gælder der ingen generel pligt til at svare på politiets spørgsmål, og der er heller ikke en straf for at lyve for politiet, uanset om sagen handler om narko, børneporno eller terrorismee.

Det kan måske senere skade deres troværdighed, hvis de bliver tiltalt, men der er altså ikke en regel i Danmark om at man ikke kan bruge selvinkrimineringsprincippet til at skjule sine ulovlige handlinger.

Dit hypotetiske eksempel om en der kidnapper et offer burde i øvrigt være kernen i selvinkrimineringsforbuddet, da et krav om at en mistænkt skal udlevere et lig er det samme som at kræve at man leverer beviset imod sig selv.

  • Det problematiske i et sådant krav er, at man på den ene side kan blive dømt, hvis man hjælper staten med at skaffe det fældende bevis imod sig selv, men på den anden side kan blive dømt for ikke at bekræfte det staten anklager en for.

  • Hvis du fortæller hvor barneliget er begravet bestyrker du statens påstand om du er den skyldige, men hvis du undlader at fortælle det, enten fordi du ikke kan eller vil, er du skyldig i ikke at "samarbejde".

Hvis staten kan bevise, at man skjuler beviser, om det så er et password, et kilo narko, eller et lig, burde den også have stærke beviser nok til at dømme en for de forbrydelser det hhandler om, og hvis ikke, kan det vel ikke være den mistænktes pligt at hjælpe staten med at udfylde tomrummet.

Der har faktisk været en sådan sag for EMD, nemlig Gäfgen v. Germany.

https://strasbourgobservers.com/2010/07/06/389/

Gäfgen var en meget usympatisk person, og klart skyldig, men at true ham med tortur selv for at redde et barns liv var i strid med hans menneskerettigheder.

De fleste af dem, der mener, at selvinkrimineringsprincippet ikke skal gælde i sager om overgreb på børn, narko eller terrorisme ville ikke blot give den mistænkte en bøde eller måneds fængsel for ikke at "samarbejde", men ville ofte tillade hårdere forhørsmetoder.

Jeg undrer mig over, hvorfor mange argumenterer for at f.x en børnebortfører eller terrorist ikke skal have ret til ikke at inkriminere sig selv, hvis det ikke er hensigten at legitimere tortur eller grove forhøsmetoder.

De mennesker er, selv under forudsætning at de er skyldige, ligeglade med om de bliver truet med en bøde eller fængsel for ikke at "samarbejde", så med mindre man ønsker at tillade tortur eller anden behandling, der også vil stride mod menneskerettighederne, er det da uden betydning om forbrydelsen er terrorisme, voldtægt eller skatteunddragelse.

Forbuddet imod tortur og umenneskelig behandling i EMRK Art 3 er altså absolut.

"Den australske PM peger gøbben på "service-providers", der f.eks helt lovligt udbyder krypteret email/cloud-storage/etellerandet."

Ja, og der kunne et land naturligvis godt afsondre sig selv fra resten af verden.
Men det er jo kun fordi, at krypteringen foretages hos det firma der udbyder kommunikationstjenesten, hvis krypteringen er et uafhængigt udviklet plugin der genererer krypteringen lokalt hos brugeren, bør firmaet naturligvis ikke kunne pålægges det umulige.

Hvis det er et europæisk firma, og det er ligeglad med australsk lov, og dets regering ikke vil samarbejde, kan Australien kun håndhæve dets forbud ved at blokere kryptoprodukter i andre lande.

Det er et principielt problem, fordi samfundet derved forpligter borgerne til at indrette deres liv på en sådan måde, at det fremadrettet skal være let for politiets efterforskning.

Poul-Henning Kamp Blogger

Clipper var ikke begrænset til AT&T

Korrekt, men det var AT&T der pushede for krypteret telefoni som "overtakseret tjeneste". (Det var et emne de havde arbejdet på i årevis, se f.eks: https://archive.org/details/bstj55-9-1373 for en af de sjovere)

Clipper-chippen var et forsøg på at gøre krypteret tale mulig, på en måde der ikke stred imod SCOTUS præcens og grundloven.

Bruger jeg en VPN forbindelse sammen med Signal via TDC’s net til at tale med personer som politiet vil aflytte, så har jeg svært ved at se, at Snoopers act eller den australske lovgivning til hjælpe politiet hertil.

Det er her det bliver rigtig interessant at se hvad domstolene beslutter sig for.

Hvis Signal er en "service-udbyder" (f.eks hvis retten når frem til at en app er en service frem for en handelsvare[1]) så er Signal omfattet af loven og kan derefter vælge om de vil efterleve loven eller undvære Australien som marked[2][3]

Hvis det var Mindre Elbonien der forbød Signal kunne de utvivlsomt leve med det, men hvis det er England, Australien, Rusland og/eller Kina kniber det hurtigt med at få forretningsmodellen til at hænge sammen.

Til sidst er der vel ingen fornuftige mennesker som kunne forudse at myndighederne ville overgå fra aflytning af enkelpersoner via dommerkendelse til ulovlig masseaflytning af hele befolkninger uden nogen form for domstolskontrol og det i et omfang som langt overstiger George Orwells 1984.

Du mener bortset fra den europæiske feudal-adel da den katolske kirke agerede postvæsen ?

Du mener bortset fra alle dem der boede i Østblokken under den kolde krig ?

Du mener bortset fra de sorte i apartheid-Sydafrika ?

Du mener bortset fra Palistinenserne i apartheid-Israel ?

Du mener bortset fra indbyggerne i diverse arabiske stater ?

Du mener bortset fra kineserne ?

Jo, det var der sandelig mange der forudså og oplevede det igennem tiden.

Og virkningerne er blevet gennemanalyseret af mange store tænkere, se f.eks: Panoptisk Fængsel.

[1] Hint: Du har ikke købt den, du har lejet dig til brugsretten og du kan ikke sælge denne videre.

[2] WTO har rigelige virkemidler til at give et sådant forbud tænder der virker: En app kan sagtens være "kontrabande" i WTO sammenhæng.

[3] Hvis jeg var Signal ville jeg også holde skarpt øje med revisionen af Wasenaar Arangement.

Ib Larsen

"Clipper er forresten et godt eksempel på it-liberalisternes politiske inkompetence: Deres modstand mod bagdøren i Clipper sikrede at data forblev i let
aflyttelig plaintext de næste 25 år."

Så du mener, at en regering der ikke kan sikre dens egne IT-systemer skulle betros adgangen til en bagdør.

Legal interception er newspeak for en bagdør, der giver staten, dvs. de nuværende og alle fremtidige magthavere mulighed for at aflæse også tidligere kommunikation.

Forsikringer om, at muligheden kun anvendes til at efterforske forbrydelserne x, y og z er intet værd, da legal interception ikke udgør en teknisk men kun juridisk beskyttelse af borgernes kommunikation.

Og hele ønsket hviler på en uærlig fremstilling fra myndighederne af deres "ret" til at kunne foretage masseovervågning af borgerne, istedet for målrettet overvågning imod bestemte personer.
- Hvis ønsket kun var et lette politiets efterforskning i konkrete sager, kunne man indføre en hjemmel for myndighederne til at hacke mistænktes enheder, istedet for at tvinge udbyderne til at svække kryptering for alle.

Staten bør slet ikke høres, før at der er klækkelige bøder og straffe til myndigheder og disses ansatte for at overtræde borgernes privatliv.

Legal interception kan opsummeres som at borgerne skal nære tillid til staten uden garantier imod misbrug.

Poul-Henning Kamp Blogger

En der er mistænkt for mord kan ikke tvinges til at lede politiet på sporet ved at fortælle dem, hvor liget er begravet eller til at gøre rede for sin færden.

Korrekt.

Men hvis retten finder det bevist at han er morderen, kan der lægges utroligt meget pres på ham for at afsløre hvor han gjorde af liget, af hensyn til de efterladte. (Se også: Reiser)

Gäfgen var en meget usympatisk person, og klart skyldig, men at true ham med tortur selv for at redde et barns liv var i strid med hans menneskerettigheder.

Hvilket burde være indlysende forenhver: Tortur er aldrig OK.

Men intet forhindrer at en dømt morder får beskeden: Livsvarigt fængsel til døden indtræder. Parole og prøveløsladelse kan tidligst komme på tale 20år efter liget er fundet.

Ja, og der kunne et land naturligvis godt afsondre sig selv fra resten af verden.

På listen over lande jeg har noteret mig, hvor politisk seriøse lovforslag om "lawful intercept" er på bordet er bla: .us, .cn, .ru, .fr, .uk, .br, .is, .in, .sa, .kz.

Hvis det er den tunge ende af G7/G20/Verdensøkonomien der "afsondrer sig fra resten af verden", nærmer vi os Wonko The Sane sanatoriet.

Det er et principielt problem, fordi samfundet derved forpligter borgerne til at indrette deres liv på en sådan måde, at det fremadrettet skal være let for politiets efterforskning.

Det er en meget manipulerende miskarakterisering af hvad der politisk foregår i de fleste lande: Det politiske fokus er på virksomhederne, ikke på borgerne.

Borgerne kan gøre hvad de vil, genskrive PGP i PL/1 hvis de har lyst, der er endnu ingen lande der seriøst har foreslået at forbyde kryptering som teknologi.

Men jeg tror fremtidsudsigterne i en forretningsmodel der handler om at sætte retssamfundet udenfor døren i elektronisk kommunikation har en meget kort halveringstid. (Se også: Kim DotCom)

Poul-Henning Kamp Blogger

Så du mener, at en regering der ikke kan sikre dens egne IT-systemer skulle betros adgangen til en bagdør.

Legal interception er newspeak for en bagdør, der giver staten, dvs. de nuværende og alle fremtidige magthavere mulighed for at aflæse også tidligere kommunikation.

Jeg skal nok selv tage mig af at udtrykke hvad jeg mener. (Erfaringen viser at alle andre er elendige til det, ikke mindst når de skyder mig stråmænd i træskoene.)

"Legal interception" betyder at aflytningen er lovlig i henhold til landets love

Landets love er per definition OK, det er selve ideen i at have en nationalstat til at begynde med.

Staten bør slet ikke høres, før at der er klækkelige bøder og straffe til myndigheder og disses ansatte for at overtræde borgernes privatliv.

Hvis du er utilfreds med landets love, må du følge dit lands regler for at lave dem om.

I vores ende af verden er det for det meste noget med at overbevise dine medborgere om at vælge dig ind i den lovgivende forsamling.

Hvis du ikke går ind i politik, f.eks fordi du føler dig for fisefornem til det, eller hvis et flertal af dine medborgere (i et demokratisk land) mener at det er vigtigere at klamme røvhuller ikke ustraffet kan sende pikbilleder til småpiger, så bliver "legal intercept" nok en realitet.

Kjeld Flarup Christensen

Clipper var ikke begrænset til AT&T selvom det er rigtigt at en teleoperatør som AT&T ikke må indføre samtaletjenester som politiet ikke kan aflytte.


Blot som en krølle på dette. Bruger man IP telefoni og har direkte RTP flow mellem de to ender, så kan talen principielt krypteres så den ikke kan aflyttes. Men der er det så ikke teleselskabet, som laver krypteringen men terminalerne.

Allan Astrup Jensen

Men med mindre du har en kvante computer af hidtil uset kraft, så kan national lovgivning jo ikke ændre på det faktum at sikker kryptering er, sikker.


Ja, men har du ikke forstået, at hvis krypteringen er ulovlig og ubrydelig, så vil krypterede meddelelser eller sorte hjemmesider kunne stoppes. Det kan formidlerne godt gøre, hvis det bliver forlangt af lovgivningen, ligesom hjemmesider og apps kan forbydes af et suverænt land. Hvis der formidles ulovligheder er formidlerne iøvrigt medskyldige!

Poul-Henning Kamp Blogger

Bruger man IP telefoni og har direkte RTP flow mellem de to ender, [...]

Korrekt.

Men hvis den anden ende er en virksomhed kan den stadig være underlagt lovgivning om at den skal optage indholdet (børsmæglere f.eks).

Jeg tvivler på at sand end-to-end kryptering mellem to Homo Sapiens nogensinde bliver decideret forbudt, alene af den grund at et sådant forbud vil være både umuligt at håndhæve og besværliggøre visse dele af nationalstaters funktion (diplomati, spionage, beredskab mv.)

Men vi kan meget let havne i en situation hvor den gennemsnitlige jury i mordsager vil opfatte krypteret kommunikation som selvinkriminerende og alene derfor skal "du har intet at frygte hvis du intet har at skjule" desentiseringen overfor kryptering ikke have lov at rodfæste sig.

Poul-Henning Kamp Blogger

Men hvis den anden ende er en virksomhed kan den stadig være underlagt lovgivning om at den skal optage indholdet (børsmæglere f.eks).

Og bare lige for at følge Clipper til torvs:

Der var mange store virksomheder der støttede Clipper fordi de meget gerne ville beskytte deres kommunikation imod aflytning.

Ikke mindst frygtede man at nogen af de flere hundrede tusinde Bell Systems medarbejder tilfældigt opsnappede bidder af samtaler og solgte dem til højestbydende.

Men virksomhederne ønskede stadig beholde politiets mulighed for at hjælpe dem med at retsforfølge insidere der lækkede information til konkurrenterne.

Ib Larsen

"Men hvis retten finder det bevist at han er morderen, kan der lægges utroligt meget pres på ham for at afsløre hvor han gjorde af liget, af hensyn til
de efterladte. (Se også: Reiser)"

"Hvilket burde være indlysende forenhver: Tortur er aldrig OK.

Men intet forhindrer at en dømt morder får beskeden: Livsvarigt fængsel til døden indtræder. Parole og prøveløsladelse kan tidligst komme på tale 20år
efter liget er fundet."

Nej, og det er jo noget helt andet, da staten i et sådant tilfælde allerede har fået personen dømt for mordet.

Det er dog noget helt andet end at hævde, at selvinkrimineringsforbuddet ikke gælder, hvis det handler om bestemte forbrydelser, som man måtte være mistænkt for.

  • Indtil man er fundet skyldig har staten ingen ret til at straffe en blot fordi man nægter at samarbejde.

  • Og fordi man nægter at samarbejde kan det ikke i sig selv lægges til grund som bevis for at man er skyldig.

  • Hvis man påberåber sig selvinkrimineringsprincippet og alligevel udtaler sig og lyver kan og bør det naturligvis komme en til skade, eller man kan sidde varetægtsfængslet indtil straffesagen, hvis man ikke "hjælper" politiet, men det er ikke ensbetydende med at man har nogen pligt til at hjælpe politiet i de tilfælde du nævner.

Det du påstod var at selvinkrimineringsforbuddet ikke gjaldt hvis (1) hvis disse handlinger allerede er blevet afsløret eller (2) dit vidnesbyrd er livsvigtigt for andres ve & vel og du brugte som eksempel sagstypen hvor man har fanget kidnapperen, men ikke ved hvor offeret er spærret inde.

I 1. type sager ville myndighederne først skulle bevise, at ens handlinger allerede var blevet "afsløret", hvilket jo i praksis ville være det samme som at bevise at man var skyldig, og i 2. sagstype ville det at bevise at en person var kidnapperen forhåbentligt også være tilstrækkeligt til at få ham dømt, og hvis ikke kunne man alligevel ikke kræve at vedkomne inkriminerede sig selv.

Er ikke helt med på, om det du mener er, at man ikke kan påberåbe sig selvinkrimineringsprincippet for at aflægge vidnesbyrd om et strafbart forhold, man allerede er dømt for, men hvis det er er jeg tilbøleligt til at være enig, men dit eksempel med en børnekidnapper, som politiet kraftigt mistænker, er netop ikke en sådan undtagelse.

"På listen over lande jeg har noteret mig, hvor politisk seriøse lovforslag om "lawful intercept" er på bordet er bla: .us, .cn, .ru, .fr, .uk, .br, .is,
.in, .sa, .kz.

Hvis det er den tunge ende af G7/G20/Verdensøkonomien der "afsondrer sig fra resten af verden", nærmer vi os Wonko The Sane sanatoriet."

Hvis Australien eller noget andet land vil føre ideen om lawful intercept til dens logiske konklusion, er det ikke nok kun at ramme selve udbyderne, der måtte udbyde krypteringen som et lag oven på kommunikationstjenesten.

Hvad jeg siger er, at Australiens lov, der måtte forpligte en kommunikationstjeneste idag bliver ineffektiv imorgen, hvis eller når der kommer et uafhængigt udviklet plugin der krypterer kommunikationen hos brugerne.

I en sådan situation er det urealistisk, at regeringen ville melde pas og bare lade going dark problemet fortsætte.

Argumentet vil nu være det samme som Justitsministeriet har fremført for at udvide Logningsbekendtgørelsen til foreninger, private husstande ved at lukke huller og forbyde private at have åbne trådløse netværk.

  • Fordi man har spildt så mange (af andres) penge på at tvinge ISP'erne til at lave lawful intercept, vil det være spild af (andres) penge ikke også at udvide systemet til tredjeparts plugins eller andre værktøjer og tjenester, der faciliterer omgåelse af lawful intercept.

"Det er en meget manipulerende miskarakterisering af hvad der politisk foregår i de fleste lande: Det politiske fokus er på virksomhederne, ikke på borgerne."

Ja der er det politiske fokus lige nu, men der er ingen logik i at en forretningsmodel, der faciliterer at borgerne kan kommunikere med hinanden på en måde, der sætter retssamfundet uden for døren - som du siger - skal være ulovlig, hvis borgerne har en ret til at kommunikere med hinanden med samme teknologi.

Hvis borgerne har en ret til at kryptere alt med PGP, er der vel ingen forskel på, at et firma udbyder en kommunikationstjeneste der gør det let for alle uden teknisk kyndighed at tale sammen på en måde som ikke kan aflyttes.

"Borgerne kan gøre hvad de vil, genskrive PGP i PL/1 hvis de har lyst, der er endnu ingen lande der seriøst har foreslået at forbyde kryptering som teknologi.

Men jeg tror fremtidsudsigterne i en forretningsmodel der handler om at sætte retssamfundet udenfor døren i elektronisk kommunikation har en meget kort
halveringstid. (Se også: Kim DotCom)"

Kim DotComs forretningsmodel, er at udbyde krypteret filhosting hvor tjenesten har plausible deniability.

Af nuysgerrighed vil jeg da gerne høre, hvorfor du mener det er at sætte retssamfundet uden for døren.

Det giver da god mening, at tjenesten heller ikke teknisk skal være i stand til at forvisse sig om, hvad brugerne lagrer, idet tjenesten ikke har nogen kommerciel interesse i indholdet af brugernes filer.

Hvis brugerne overtræder loven, er det naturligvis en sag mellem brugerne og myndighederne, men hvorfor skulle en cloud tjeneste ikke have en forretningsmodel, der adskiller tjenestens kommercielle sigte fra indyholdet af brugernes data.
Man betaler jo ikke Dropbox, Amazon m.m mere eller mindre fordi man lagrer kattebilleder end for hvadsomhelst andet, og tjenesten får kun bøvl, hvis der brugernes data bliver hacket.

""Legal interception" betyder at aflytningen er lovlig i henhold til landets love

Landets love er per definition OK, det er selve ideen i at have en nationalstat til at begynde med."

Ja , og det er jo det klassiske statsautoritære argument som tilhængerne af masseovervågning altid falder tilbage på:

  • Legal intercept AKA masseovervågning er ok, fordi Landets love per definition er OK og så den obligatoriske om nationalstaten.

Legal intercept er så per definition ok, fordi nationalstaten vil håndhæve dens love, og det i sig selv er et absolut gode.

Hvis man nærer tiltro til, at magthaverne altid vil være gode, og at der ikke om nogle år kommer folk til, der vil bruge masseovervågning til ting som ikke oprindeligt var forudset, er alt i den skønneste orden.

Og hvis man tror, at staten holder de løfter den giver om datasikkerhed, og at der ikke er korrupte politikere eller embedsmænd, der kan eller vil misbruge de nye beføjelser, og at kontrolmekanismerne i systemet er tilstrækkelige, så må man naturligvis sige ja.

"Hvis du er utilfreds med landets love, må du følge dit lands regler for at lave dem om."

Ja følge landets love med mindre man er en myndighed, der ikke kan straffes for at krænke borgernes privatliv.

  • Så at følge landets love eller regler kan man jo gøre på samme måde som kommuner og andre myndigheder, der ikke kan straffes for at overtræde borgernes privatliv.

Borgerne skal vel ikke have større pligt til at følge reglerne end myndighederne eller disses tjenere.

  • Hvis en kommune kan slippe godt fra at overtræde borgernes privatliv, og politifolk kan omgås ytringsfriheden og sandheden som i Tibetsagen, må borgerne naturligvis afgøre med deres samvittighed hvordan de efterlever reglerne.

"I vores ende af verden er det for det meste noget med at overbevise dine medborgere om at vælge dig ind i den lovgivende forsamling.

Hvis du ikke går ind i politik, f.eks fordi du føler dig for fisefornem til det, eller hvis et flertal af dine medborgere (i et demokratisk land) mener
at det er vigtigere at klamme røvhuller ikke ustraffet kan sende pikbilleder til småpiger, så bliver "legal intercept" nok en realitet."

En sjov måde at affærdige indvendinger imod at give staten mere magt over borgernes data, som den ikke har vist sig moden til at beskytte.

  • Hvis masseovervågning skulle stå og falde på om klamme røvhuller skulle have privatliv til at sende billeder til unge piger, ville der være kameraovervågning i alle soveværelser.

Jeg køber ikke argumentet, men selv hvis jeg gjorde, skulle anvendelsen af en sådan overvågning begrænses til de sagstyper og ikke udvides til alt andet som staten fik igennem via salamitaktikken.

Poul-Henning Kamp Blogger

Det er dog noget helt andet end at hævde, at selvinkrimineringsforbuddet ikke gælder, hvis det handler om bestemte forbrydelser, som man måtte være mistænkt for.

Hvem har da også påstået det ?

Indtil man er fundet skyldig har staten ingen ret til at straffe en blot fordi man nægter at samarbejde.

Nej, de må ikke straffe dig, men de må lægge pres på dig og frihedsberøve dig, hvis domstolen finder at det fremmer sagens opklaring.

Og fordi man nægter at samarbejde kan det ikke i sig selv lægges til grund som bevis for at man er skyldig.

I teorien ja. I praksis er det utroligt selvinkriminerende, ikke mindst i sager der afgøres af en jury.

Hvad jeg siger er, at Australiens lov, der måtte forpligte en kommunikationstjeneste idag bliver ineffektiv imorgen, hvis eller når der kommer et uafhængigt udviklet plugin der krypterer kommunikationen hos brugerne.

Din ret til at køre vilkårlig software ikke er nedskrevet noget sted.

Hvis Signal ikke samarbejder med Australiens domstole, kan Australien forbyde eller ligefrem kriminalisere anvendelsen af Signals software i Australien.

Hvis borgerne har en ret til at kryptere alt med PGP, er der vel ingen forskel på, at et firma udbyder en kommunikationstjeneste der gør det let for alle uden teknisk kyndighed at tale sammen på en måde som ikke kan aflyttes.

Jo, der er enorm forskel, både juridisk, mellemfolkeligt og ikke mindst i praksis.

NSA har f.eks brugt deres vægt som indkøber af enorme mængder IT udstyr til at få deres vilje med leverandørene.

En sjov måde at affærdige indvendinger imod at give staten mere magt over borgernes data, som den ikke har vist sig moden til at beskytte.

Hvis du ønsker at begrænse statens magt, må du kæmpe for at grundloven bliver ændret. Det forudsætter stort set at du går aktivt ind i politik og overbevise dine medborgere, så de stemmer på dig og din sag.

Ib Larsen

"Hvem har da også påstået det ?"

Det har du selv ovenfor:

"Den beskytter dig ikke hvis disse handlinger allerede er blevet afsløret, eller hvis dit vidnesbyrd er livsvigtigt for andres ve & vel. [1]"

Du skrev eller, så jeg antog at du hentydede til to forskellige mulige sagstyper - (1) allerede afslørede forbrydelser eller (2) Vidnesbyrd vigtigt for andres ve og vel.

Når jeg taler om mistænkte, er det fordi dit eksempel om vidnesbyrd vigtigt for andres ve og vel jo passer bedst på en mistænkt, og ikke på en dømt.

  • Hvis man ikke kan bevise, hvor kidnapperen har gemt offeret, eller om offeret stadig er i live, er det sandsynligvis en akutsituation, hvor politiet både skal redde liv og efterforske en mulig gerningsmand.

Det ligger tæt på et ticking timebomb scenarie, hvor man mistænker en terrorist for at have gemt en tidsindstillet bombe, der hvis den udløses kan dræbe mange uskyldige.

Dilemmaet er, at en sådan person, skyldig terrorist eller uskyldigt mistænkt, ikke kan tvinges til at fortælle myndighederne, hvor bomben er placeret, da det vil være det samme som at aflægge vidnesbyrd mod sig selv.

Jeg troede, at det var et sådant eksempel du havde i tankerne med - vidnesbyrd der er livsvigtigt for andres ve & vel.

"Nej, de må ikke straffe dig, men de må lægge pres på dig og frihedsberøve dig, hvis domstolen finder at det fremmer sagens opklaring."

Og det er noget helt andet end din ret så skråsikre påstand om, at selvinkrimineringsforbuddet ikke gælder i bestemte typer sager.
- Hvis en der er mistænkt for besiddelse af børneporno f.x nægter at samarbejde med politiet, vil en begæring om varetægtsfængsling stadig skulle opfylde reglerne i Retsplejeloven.

Der er ikke en undtagelse om, at man automatisk varetægtsfængsler alle, der nægter at låse computeren op for politiet.

Klart, at personen kan skade sig selv på mange måder f.x ved at lyve for politiet og ved at nægte at hjælpe dem med at låse en computer op, man ved han ejer, eller eller lade inkriminerende tekstfiler ligge frit fremme som en af hackerne vist gjorde i CSC sagen.

Men selve princippet om at man ikke kan straffes for ikke at inkriminere sig selv gælder altså også i sager om passwords og kryptering, medmindre folk gør noget åndssvagt.

Kender ikke nok til sagen mod Reiser til at have en mening om sagen, men jeg er sikker på, at han ikke blev dømt for ikke at nægte at samarbejde med politiet eller for at påberåbe sig Fifth Amendment.

I USA bliver juryen også direkte indskærpet om, at tiltaltes beslutning om at påberåbe sig Fifth Amendment ikke i sig selv indikerer skyld.

Der er en ret så omfattende caselaw omkring, hvordan, hvornår og hvem der kan påberåbe sig Fifth Amendment privilegiet mod selvinkriminering, og hvordan man mister muligheden.

Der har helt sikkert været andre omstændigheder der gjorde at Reiser blev dømt.

Fifth Amendment er intet skjold for de skyldige, som der er andre fældende beviser imod, eller for dem der begår mened (lyver for retten) eller lyver for politiet.

Men med hensyn til mandatory key disclosure er det altså et både og.

Flertallet af dem, der er blevet pålagt at låse computere eller telefoner op i USA har kvajet sig på forskellige måder.

Det er ikke et argument for at staten skal have en sådan magt, men for at borgerne skal afholde sig fra at udtale sig til politiet:

https://www.youtube.com/watch?v=CkZf6_jK3Zs

Flertallet af de mennesker, der er kommet i uføre, ville have været frie som fugle, hvis de havde holdt deres mund.

Det danske politi er måske ikke så farligt som det amerikanske FBI, men der er faktisk gode grunde til slet ikke at udtale sig, med mindre man har pligt til det.

"Din ret til at køre vilkårlig software ikke er nedskrevet noget sted.

Hvis Signal ikke samarbejder med Australiens domstole, kan Australien forbyde eller ligefrem kriminalisere anvendelsen af Signals software i Australien."

Rigtigt, og det er jo det logiske næste skridt at indskrænke borgernes mulighed for at køre den software de vil på deres egne enheder.

Du skrev ovenfor, at det var en meget manipulerende miskarakterisering af hvad der politisk foregår i de fleste lande at fremstille de politiske bestræbelser som et forsøg på at tvinge borgerne til at indrette sig efter statens overvågning, da Det politiske fokus er på virksomhederne, ikke på borgerne.

Men det holder jo så ikke helt, hvis næste skridt kan blive en kriminalisering af at bruge software, hvis udviklere ikke vil samarbejde med den australske stat.

Signal kunne meget vel rette ind og ophøre med at tilbyde krypteret kommunikation i Australien, og hvis så en udvikler laver en udvidelse, der gør det lige så let som før at lægge et ekstra lag kryptering oven på Signals kommunikationstjeneste, vil Australien være lige vidt.

Den regulering, der tidligere har været rettet mod firmaer, vil nu være meningsløs, medmindre den også udvides til kriminalisering af privatpersoner, der bruger anden kryptering til at kryptere deres Signal-beskeder.

Så forsikringen om at borgerne kan gøre hvad de vil holder kun så længe, at regeringen ikke finder på at lukke hullerne i lawful interception ved at rette loven mod slutbrugerne selv.

"Jo, der er enorm forskel, både juridisk, mellemfolkeligt og ikke mindst i praksis.

NSA har f.eks brugt deres vægt som indkøber af enorme mængder IT udstyr til at få deres vilje med leverandørene."'

At få deres vilje med leverandørne er jo ikke det samme som at det skulle give mening at lave en lov, der tillader privatpersoner at kryptere men ikke firmaer at udbyde samme service uden bagdør.

At NSA måske kan presse firmaer, er intet argument for at borgerne skal godtage det.
"Hvis du ønsker at begrænse statens magt, må du kæmpe for at grundloven bliver ændret. Det forudsætter stort set at du går aktivt ind i politik og overbevise
dine medborgere, så de stemmer på dig og din sag."

Jeg ønsker ikke at begrænse statens magt, men at undgå at den udvides. Lawful intercept er n udvidelse af statens magt.

Der skal ingen grundlovsændring til for at være imod lawful interception, logning eller anden masseovervågning.

Det følger ikke af grundloven, at staten har nogen "ret" til at forbyde kommunikationstjenester, der gør politiets arbejde vanskeligt.

Det strider ikke imod Grundloven, men at staten kan og ville finde det belejligt er ikke noget argument for, at det er en god ide.

Der er mange måder at bekæmpe statens masseovervågning.

  • En massiv kampagne der orienterer borgerne om deres rettigheder og pligter over for staten og myndighederne ville gøre det praktisk umuligt for staten at bruge indsamlede data til noget som helst.

  • Borgere har f.x ingen generel pligt til at hjælpe politiet eller til at stikke deres nærmeste.

Hvis blot nogle få udnyttede reglerne til fulde og nægtede at bistå politiet, ville staten enten skulle udvide masseovervågningen til et sådant omfang at den ville koste for meget, eller også ville den blive rullet tilbage, fordi den var for dyr.
Hvis myndigheder kan leve efter devisen, at man går til grænsen af loven og ikke respekterer borgerne s privatliv i større omfang end det man bliver tvunget til, kan borgerne sagtens svare igen ved f.x ikke at have kode på deres netværk eller udlåne det til deres venner, bekendte og naboer, når man er på ferie.

Så at følge landets love ved at gå til grænsen af det tilladelige, som staten jo ynder i mange tilfælde, kan sagtens kombineres med lovlig civil ulydighed/ligegyldighed.

Der er ingen regel, der siger, at det er rimeligt, at staten kan overholde loven minimalistisk, mens at borgerne bør gøre det let for staten.

Poul-Henning Kamp Blogger

Det ligger tæt på et ticking timebomb scenarie, hvor man mistænker en terrorist for at have gemt en tidsindstillet bombe, der hvis den udløses kan dræbe mange uskyldige.

Dilemmaet er, at en sådan person, skyldig terrorist eller uskyldigt mistænkt, ikke kan tvinges til at fortælle myndighederne, hvor bomben er placeret, da det vil være det samme som at aflægge vidnesbyrd mod sig selv.

Det var derfor jeg brugte kidnapping som eksempel.

Forestil dig at politiet f.eks har en tydelig overvågningsvideo eller tre pålidelige vidner af/til den anklagede der stopper barnet ind i bilen. Skyldsspørgsmålet er dermed uden for enhver rimelig tvivl og selvinkriminering er ikke et relevant hensyn i forsøget på at redde barnets liv.

(Det er desværre et scenarie der regelmæssigt sker i skilsmissesager hvor den ene forældre forsøger at bortføre et barn og derfor er retstilstanden på det punkt ret klar og veltestet.)

Terrorist/Bombe scenariet er et utroligt dårligt valgt eksempel, for med mindre politiet har billeder der viser terroristen armere bomben, har beviserne slet ikke samme styrke som i kidnapningseksemplet ovenfor. (Og hvis politiet har sådanne billeder, er det en helt anden slags sag, f.eks en afpresningssag.)

Og det er noget helt andet end din ret så skråsikre påstand om, at selvinkrimineringsforbuddet ikke gælder i bestemte typer sager.

Uhm, det har jeg altså aldrig påstået... ?

Jeg skrev præcist: "Den beskytter dig ikke hvis disse handlinger allerede er blevet afsløret, eller hvis dit vidnesbyrd er livsvigtigt for andres ve & vel."

Første halvdel af den sætning handler om at hvis det allerede er bevist at du har begået ulovligheden, kan du ikke inkriminere dig selv yderligere for den ulovlighed. (jvf. kidnapningen)

Anden halvdel er den langt mere problematiske del og derfor går anklagemyndigheder og domstole utroligt langt for at undgå overhovedet at bruge den.

Hvor det drejer sig om 3. parter, vil man ofte lave en aftale om straffrihed eller symbolsk straf for (relativt) trivielle forbrydelser, for at kunne bruge vidnesbyrdet om alvorlige forbrydelser. (Det klassiske eksempel er en der har solgt arsenik til en morder.)

Hvor det drejer som om den hovedanklagede er sagerne hvor selvinkriminering tilsidesættes få og langt imellem. Typisk vil man også her prøve at forhandle et kompromis igennem under hensyntagen til det vigtigere mål. (F.eks forhandlede anklagemyndigheden efter sigende en held del med Stein Bagger for at finde de forsvundne IT-Factory millioner.)

Men i meget sjældne tilfælde kan en anklaget blivet tvunget til at vidne imod sig selv, uden at være blevet lovet straffrihed/-reduktion, men kun hvis der er tungtvejende grunde - menneskeliv/national sikkerhed osv. (Jeg kender ingen danske eksempler.)

Vi er kommet lidt langt fra det oprindelige emne, så lad os lige returnere:

Det er naivt og dumt at tro at man generelt bare kan sige til dommeren at man ikke vil udlevere sit password med henvisning til retten til ikke at inkriminere sig selv og så forvente at sagen er slut.

(Ikke mindst fordi det første der sker når nogen bruger retten til ikke at inkriminere sig selv, er at kriminalpolitiet bliver meget, meget mere interesserede i den pågældende person.)

Men lad os tage et konkret og nærliggende eksempel, hvis IT-liberalisterne fik deres vilje:

Stein Bagger har skyndt sig at kryptere den eneste kopi der findes af IT-Factorys regnskaber og siger han ikke kan huske password.

Tror I seriøst at anklagemyndigheden vil trække på skulderen og sige "det var da trist... så må vi opgive hele sagen..." ?

Ib Larsen

"Men i meget sjældne tilfælde kan en anklaget blivet tvunget til at vidne imod sig selv, uden at være blevet lovet straffrihed/-reduktion, men kun hvis
der er tungtvejende grunde - menneskeliv/national sikkerhed osv. (Jeg kender ingen danske eksempler.)"

Så der er ingen retstilstand i Danmark om at man kan tvinges til at vidne som anklaget imod sig selv.
Hvis det havde været lovligt for anklagemyndigheden i sjældne tilfælde at tvinge en anklaget - ville det helt sikkert være kendt.

I USA er der få undtagelser til Fifth Amendment bl.a om at en en forældre kan tvinges til at udlevere et barn, som beviseligt er i dets varetægt noget lignende dit eksempel, som jeg er enig i.

Men det skal stadig være bevist, at barnet er i forældrens varetægt.

  • Det ville ikke stride mod selvinkrimineringsprincippet at straffe Bagger for at nægte at udlevere dokumenter, der var under bogføringspligt, og som myndighederne havde ret til, selv om han ville inkriminere sig selv.

En vigtig begrænsning i princippet er at det ikke gælder, hvis der på et område er indført bogføringspligt dvs. at staten kan forlange at firmaer periodisk fører journal over bestemte transaktioner og straffe dem der snyder eller obstruerer myndigheders tilsyn.

  • Man kan heller ikke nægte at opgive rigtige oplysninger over for myndighederne, fordi disse oplysninger vil inkriminere en for en fremtidig forbrydelse.

Firmaregnskaber tilhører ikke de ansatte men firmaet, og firmaer har ingen ret til ikke at inkriminere sig selv.

  • Så staten kunne og burde i dit skrækscenarie dømme en direktør der krypterer et regnskab til 20 år i skyggen for at obstruere tilsynsmyndighedens arbejde.

Resten af din kommentar er jeg enig i og har ikke mere at tilføje.

David Bachmann

Er det ikke lidt for billigt at gøre ministeren til grin.

Er det ikke ret logisk at det der menes med at deres lov går over matematikkens love at de vil lave de love der skal til, for eksempel at det så må være ulovligt at bruge kryptering der ikke er godkendt af myndighederne. Og altså ikke at han er så dum at han tror at han kan ophæve naturlovene.

Egentlig er det vel samfundets bedste at tingene overvåges og at forbrydere ikke får frit spil.

Thomas Dynesen

Egentlig er det vel samfundets bedste at tingene overvåges og at forbrydere ikke får frit spil.

Ja, det kan du så spørge tidligere borgere i DDR om om de er enige i.
Problemet er jo at selvom den regering der indfører en sådan lovgivning i den bedste mening og ikke har til hensigt at misbruge beføjelserne er der ingen garanti for at en efterfølgende regering af anden farve eller mening om borgerrettigheder ikke vil gøre det.

Jeg vil hermed foreslå en deal med PET og andre inden for justitsvæsenet der ikke mener at der ikke er et problem med masseovervågning:
I får masseovervågning hvis vi får kropskameraer på alle inden for væsenet der har kontakt med borgere. "Folk der opfører sig ordentligt har jo ikke noget at frygte."

Poul-Henning Kamp Blogger

Så der er ingen retstilstand i Danmark om at man kan tvinges til at vidne som anklaget imod sig selv.

Nu fandt jeg endelig det stykke tekst jeg havde i hukommelsen, men ikke kunne huske hvor jeg havde læst:

"Domstolen har i praksis præciseret (se bl.a. Saunders-dommen, præmis 69), at retten til ikke at inkriminere sig selv først og fremmest vedrører respekt for den anklagedes ønske om ikke at udtale sig. Det centrale er således respekt for den anklagedes vilje. Det følger heraf, at forbudet ikke kan udstrækkes til brug under en straffesag af materiale, der kan tilvejebringes fra den anklagede ved brug af tvangsforanstaltninger, men som så at sige eksisterer uafhængigt af den anklagedes vilje. Som eksempel herpå kan nævnes dokumenter, der er fremkommet i forbindelse med ransagning, udåndingsprøver, blodprøver, urinprøver, vævsprøver med henblik på DNA-analyser mv. "

(http://jm.schultzboghandel.dk/upload/microsites/jm/ebooks/bet1428/bet142... afsnit 6.2.1)

En krypteret bunke bits må siges at "eksistere uafhængigt af den anklagedes vilje" og følgelig er "brug af tvansforanstaltninger" åbenbart OK.

I det hele taget er Kapitel 6 ret tankevækkende læsning: Selvinkriminering er nærmest kun nævnt med et par bisætninger i retsplejeloven og de rettigheder vi har som danske borgere flyder primært fra en følgeslutning af et generelt princip i EU-konventionen...

Lars Nielsen

Nej, de må ikke straffe dig, men de må lægge pres på dig og frihedsberøve dig, hvis domstolen finder at det fremmer sagens opklaring.

Det du beskriver her er ulovligt,
man må ikke varetægtsfængsle en sigtet på dette grundlag.

Det er imod principperne om retfærdig rettergang, da sigtede dermed ikke længere anses som uskyldig.

Du mente nok man må varetægtsfængsle hvis der findes mulighed for at sigtede kan hindre sagens efterforskning men det er et væsentlig andet grundlag, og de skal være konkrete.

Domstolsstyrelsen har en publikation om betingelserne her

http://www.domstol.dk/saadangoerdu/grundlovsforhor/betingelser/Pages/def...

Albert Nielsen

Men faktum er at en nationalstat sagtens kan lovgive om brug af kryptering

Den kan også forbyde strikkeopskrifter, men den kan ikke få google eller Fæcesbook til at give sig nøglerne til en krypteret meddelelse, selvom den kan tvinge Google og Fæcesbook til at give politimyndigheder adgang til krypterede beskeder i efterforskningsøjemed, eftersom de ikke er i besiddelse af dem. Uden nøgler ingen læsning.

Skal det være muligt at læse krypterede meddelelser, skal loven påbyde afsenderen at levere nøglerne - i så fald kan den lige så godt samtidig kræve selve meddelelsen udleveret af nøglens indehaver.

Ib Larsen

"Domstolen har i praksis præciseret (se bl.a. Saunders-dommen, præmis 69), at retten til ikke at inkriminere sig selv først og fremmest vedrører respekt
for den anklagedes ønske om ikke at udtale sig. Det centrale er således respekt for den anklagedes vilje. Det følger heraf, at forbudet ikke kan udstrækkes
til brug under en straffesag af materiale, der kan tilvejebringes fra den anklagede ved brug af tvangsforanstaltninger, men som så at sige eksisterer uafhængigt
af den anklagedes vilje. Som eksempel herpå kan nævnes dokumenter, der er fremkommet i forbindelse med ransagning, udåndingsprøver, blodprøver, urinprøver,
vævsprøver med henblik på DNA-analyser mv. "

(http://jm.schultzboghandel.dk/upload/microsites/jm/ebooks/bet1428/bet142...
afsnit 6.2.1)

En krypteret bunke bits må siges at "eksistere uafhængigt af den anklagedes vilje" og følgelig er "brug af tvansforanstaltninger" åbenbart OK."

Der tales om fysiske beviser, der har en uafhængig eksistens af personens vilj, og forståeligt nok er blodprøver og DNA sådanne eksempler.

  • Men at det ikke strider mod den tiltaltes ret til at forblive tavs at tvinge ham til at underkaste sig en blodprøve eller DNA-test er jo netop fordi (1) Alle har en blodtype og (2) Blodtypen kan knyttes til personen uden at vedkomne siger noget, hvis myndighederne allerede har personen i deres varetægt.

At visse fysiske beviser har en uafhængig eksistens af individets vilje betyder ikke, at politiet uden at overtræde selvinkrimineringsprincippet kan pålægge en almindelig borger at gøre rede for, hvem vedkomne har udvekslet DNA med ved seksuelt samkvem, alene fordi DNA har en fysisk eksistens uafhængigt af individet.

  • Hvis myndighederne for at bruge beviserne til at knytte personen til en forbrydelse kun kan gøre fremskridt ved at kræve at personen oplyser fakta, som kun er kendt af vedkomne selv, gælder selvinkrimineringsprincippet fortsat, fysiske beviser eller ej.

Så en krypteringsnøgle kan godt siges at have en uafhængig fysisk eksistens af individets vilje, ja, forudsat at det konkret kan bevises, at data er krypterede og ikke kun tilfældigt støj, men her vil staten have et problem hvis kryptosystemet er ordentligt implementeret og ikke efterlader headers der indikerer at data er krypteret med et bestemt program.

Dernæst vil staten ikke blot skulle bbevise, at der findes krypterede data, og at disse kan låses op med en nøgle, men vil også være nødt til at bevise, at den person man har i kikkerten har nøglen, der omdanner krypterede data til filer.

Men kan staten bevise (1) Eksistensen af krypterede og ikke kun tilfældige data; (2) som kan låses op med en nøgle og (3) At personen har evnen til at omdanne de krypterede data til klartekst dvs. data som giver mening for et menneske, pålægger det staten en ret stor bevisbyrde som det i praksis vil være vanskeligt eller umuligt at løfte i mange situationer.

Hvis staten blot fejler i et af de tre trin, vil personen kunne gøre gældende, at han ikke kan tvinges til at udfylde tomrummet i statens bevisførelse ved at gøre dens arbejde, hvilket jo præcis er kernen i selvinkrimineringsprincippet.

  • Hvis der er ting som staten ikke ved dvs. men kun mistænker, en borger for, må den selv gøre dens arbejde og kan ikke overtrumpfe individets vilje til at løfte sagen mod sig selv.

Den 11. kredsdomstol i USA afgjorde en sådan sag om en mistænkt der nægtede at hjælpe myndighederne med at åbne en Truecrypt partition.

  • Statens egen retstekniske ekspert måtte indrømme, at man ikke definitivt kunne skelne mellem tilfældigt støj og krypterede data, og derfor nåede man slet ikke til at afgøre om mistænkte havde nogen nøgle.

Da bevis for, at en given samling bits udgør krypterede og ikke blot tilfældige data, er en forudsætning for at kunne bevise, at der findes en tilhørende nøgle, som mistænkte er i besiddelse af er en betingelse for at man kan overtrumpfe retten til selvinkriminering, vil der være mange situationer hvor staten kommer til kort, ganske enkelt fordi man ikke vil kunne løfte bevisbyrden, medmindre man tager personen i færd med at tilgå datastrømmen.

Om derer er krypterede data, og om personen man ønsker at tvinge faktisk er ejeren, eller kun holder de krypterede data, eller er ejeren af et flerbruger system (en fælles computer i en husstand eller forening) vil alle være faktiske led i den bevisbyrde som staten skal løfte for overhovedet at nå til at tilsidesætte selvinkrimineringsprincippet.

Så ja, jeg er enig i, at tvangsforanstaltninger i forbindelse med krypteringsnøgler i princippet vil kunne iværksættes uden at krænke individets beskyttelse mod selvinkriminering, under den forudsætning, at staten kan føre bevis for (1) Eksistensen af krypterede data og (2) og at personen har nøglen.

  • Hvis personen nu hypotetisk deler computer, telefon eller cloud server med en anden eller flere, men man ikke kan bevise hvem af dem, der har nøglen, vil staten have en vanskelig eller umulig bevisbyrde.

Problemet for personen eller personerne vil være, at nøglen til de krypterede data, hvis man kan bevise at det er krypterede data, jo i sig selv autentiserer at personen med kendskab til nøglen også med høj sandsynlighed er ejeren af de data der måtte fremkomme i klartekst.

Så hvis man bliver afkrævet at låse en krypteret partition op, der indeholder børneporno eller terroropskrifter, vil det at man har nøglen jo i sig selv være inkriminerende.

Argumentet for at det i et sådant tilfælde vil være selvinkriminering at skulle låse op for myndighederne er ikke, at man så og sige har ret til at nægte staten adgang til den børneporno eller de terroropskrifter, der ligger i en krypteret partition, men at man ved at indrømme, at man kender nøglen i praksis indrømmer at man er ejeren af de inkriminerende data.

Et andet problem der vil opstå, hvis personen samarbejder, og det eneste der kommer frem er en tom partition eller en stor samling kattebilleder.

Med mindre staten kan bevise, at nøglen ikke virker, vil det ikke være muligt at hænge vedkomne op for hvad der svarer til obstruction of justice, selv hvis man i Danmark indførte en sådan straffelovsovertrædelse (reglen om bevisforvanskning undtager den der søger at unddrage sig selv eller sine nærmeste forfølgning eller straf).

"I det hele taget er Kapitel 6 ret tankevækkende læsning: Selvinkriminering er nærmest kun nævnt med et par bisætninger i retsplejeloven og de rettigheder
vi har som danske borgere flyder primært fra en følgeslutning af et generelt princip i EU-konventionen..."

Det er muligt at Rpl ikke udtrykkeligt taler om selvinkriminering, men princippet om at man ikke kan tvinges til at vidne mod sig selv har været gældende praksis i mange år.

EMRK nævner modsætningsvis heller ikke selvinkriminering i Artikel 6 men kun princippet om retfærdig rettergang, hvori beskyttelsen mod selvinkriminering er indbefattet.

  • Årsagen må være den, at en variation af selvinkrimineringsprincippet er nødvendigt for at man kan have en retfærdig rettergang dvs. en beskyttelse som både omfatter den uskyldige og den uskyldige.

Den filosofiske problemstilling omkring kryptering er ikke ny, argumentet om at man må være skyldig, hvis man ikke vil hjælpe politiet, hørtes også før i tiden, netop i sager, hvor den anklagede virkede usympatisk, eller hvor sagen var så gruopvækkende, at pøblen var villig til at erklære den anklagede skyldig inden retssagen.

Kryptering fandtes også før i tiden - koder i dagbøger eller usynligt blek og steganografiske metoder som var skjult for uvedkomne
Det eneste der er ændret at teknologien har gjort disse metoder tilgængelige for millioner, og at staten nu skal arbejdere hårdere for at få dømt de skyldige.

  • Men bare fordi teknologien gør efterforskning svært, er det ikke i sig selv et argument for legal intercept eller for mandatory key disclosure (på nær i de undtagelsestilfælde som jeg nævner ovenfor).

Du skriver andetsteds, at man ikke har nogen ret til at køre den software man vil:

  • Der har du ret, hvis de eneste rettigheder man har er dem som staten lovgiver man har.

Bøsser under Islamisk Stat har heller ingen ret til at leve, fordi det er hvad loven siger, men det er og har aldrig været et argument for at acceptere at staten skal have nogen magt på et område.

Om et flertal mener, at et indgreb er godt - om bøsser skal stenes eller om staten skal have legal intercept - har aldrig været et argument i sig selv.

Jeg er i øvrigt slet ikke så sikker på, at flertallet ubetinget vil være for legal intercept eller anden masseovervågning, hvis flertallet blev konfronteret med, at staten tager hele hånden, hvis den først får en lillefinger.

  • Det er eksempelvis interessant, at Logningsbekendtgørelsen oprindeligt blev solgt til offentligheden som et tiltag til at bekæmpe terror for størstedelens vedkomne er blevet brugt til alt muligt andet.

  • Hvis danskerne var blevet orienteret om, at Logningsbekendtgørelsen ville føre til krav om personlogning ned på husstandsniveau, og at logningen også ville blive misbrugt af copyright trolls til at kræve penge af helt uskyldige, er jeg sikker på, at mange ville have ændret holdning.

Ib Larsen

"Egentlig er det vel samfundets bedste at tingene overvåges og at forbrydere ikke får frit spil."

Jep, tænk lige over din egen argumentation og hvilke logiske konsekvenser den må have.

  • Forbrydere begår overgreb på børn i soveværelser og i private boliger, og at der ikke er overvågning i private boliger gør det let for de pædofile at unddrage sig straf og vanskeliggør statens opklaring.

Argumentet for overvågning af alle private boliger er præcist det samme stringente argument for at løse going dark problemet ved at forbyde kryptering.

Poul-Henning Kamp udtrykte logikken meget smukt (tillader mig at omskrive lidt):

"Hvis et flertal af dine medborgere (i et demokratisk land) mener
at det er vigtigere at klamme røvhuller ikke ustraffet kan forgribe sig på småpiger, så bliver kameraovervågning af alle soveværelser nok en realitet."

Logikken om at fordi staten har en lov, som vil være svær at håndhæve, medmindre den får en ny lov, der regulerer/straffer/overvåger private er kun "samfundets bedste" hvis man kunne tænke sig at leve i en politistat, hvor staten har absolut magt, og hvor alle rettigheder kun respekteres indtil de er ubekvemme for magthaverne eller for det omskiftelige (pøbelagtige) flertal.

Under Islamisk Stat og i DDR var legal intercept også en realitet, blot med den forskel at de love som overvågningen skulle bestyrke var lidt anderledes end dem et dansk flertal (endnu) måtte ønske sig.

Så jo, hvis man tilhører det segment, der mener, at staten er et mål i sig selv, fordi staten grundlæggende vil borgerne det bedste, og ikke kunne drømme om at misbruge dens magt, eller at tolerere utro tjenere (læs skattesagen eller Tibetsagen) er legal intercept naturligvis i samfundets bedste.

Giv bare staten mere magt uden garantier mod misbrug, hvad kunne gå galt?

Ami Olsen

Det kan godt se komisk ud, når en politiker siger, at matematikloven ikke gælder i eget land. Men det er jo det samme som vores egen lovgivning - den begrænser vores adfærd netop der, hvor naturloven gør noget muligt, som den lovgivende magt mener er forkert.

Bilfabrikanter kan godt lave biler, der sagtens kan køre mere end 200 i time - fysiklovene tillader det. Loven i Danmark er fortsat 130 på motorvej som det højeste tilladte fart på en offentlig vej - fysiklove er prisværdige men gælder ikke på dansk asfalt.

Det er også muligt at slå mennesker ihjel - naturloven tillader det - men lovligt bliver det ikke af den grund.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017